«Практическая безопасность, это не про абстрактные угрозы, а про конкретные действия. CIS Controls, это скелет, на который можно нарастить плоть вашей защиты. Но сам по себе список бесполезен, если не превратить его в рабочий план с инструментами, сроками и ответственными. Вот как это сделать.» Чек-лист CIS Controls: от списка к действию CIS Critical Security Controls, … Читать далее
"Финансовый директор не увидит ценности в системах, пока вы не переведете киберриски в язык прямых убытков, операционных простоев и упущенной выручки. Обоснование, это не запрос на новое ПО, а предложение по управлению уже существующими финансовыми угрозами." Финансовый язык против языка кибербезопасности Диалог о бюджете проваливается на первом же предложении, когда специалист по безопасности начинает с … Читать далее
Красивый QR-код на столике или наклейка на окне ресторана, это дверь в интернет. Проблема в том, что у вас нет возможности проверить, кто именно поставил эту дверь, и куда она ведёт. Бессмысленно говорить о вирусах на смартфоне или утечке паролей — в реальности угрозы гораздо тоньше и нацелены на то, о чём вы даже не … Читать далее
Белые списки авторизованного программного обеспечения Проактивная защита от неавторизованного ПО через технические средства контроля Белый список, это больше, чем просто политика безопасности. Это архитектурный принцип, при котором система разрешает выполнение только заранее известных и проверенных приложений. Вместо того чтобы постоянно обновлять сигнатуры для блокировки нового вредоносного ПО, вы определяете узкий круг доверенного кода. Этот подход … Читать далее
“Самый надежный способ — не угадывать интонацию, а знать чёткий список тем, которые сотрудник безопасности никогда не поднимет. Это техническая протокольная граница, и её знание превращает вас из объекта атаки в часть системы защиты.” О чем говорит с вами служба безопасности банка Звонок с фразой «здравствуйте, это служба безопасности» вызывает законную настороженность. Разделение здесь простое: … Читать далее
«Всё больше процессов переходит в облако, а безопасность при этом застревает где-то между внутренним политиками и договором об уровне услуг с провайдером. CASB, это попытка вернуть контроль над тем, что на самом деле происходит с корпоративными данными за пределами периметра». Безоблачных инфраструктур практически не осталось. Однако переход на облачные сервисы не отменяет требований регуляторов, будь … Читать далее
«Считается, что код ревью и тестирование, это чисто техническая практика, призванная ловить баги. На деле, в контексте российского ИТ и регуляторики ФСТЭК, это ключевой барьер на пути формального соответствия требованиям 152-ФЗ, превращающий абстрактные «организационные меры защиты» в конкретный, проверяемый артефакт». Code Review и тестирование в контексте требований ФСТЭК Проверка кода и тестирование часто рассматриваются как … Читать далее
«Автоматизация управления обновлениями, это не только про технологии, но и про преодоление организационного сопротивления, работу с устаревшими системами, которые нельзя потрогать, и умение объяснить бизнесу, что экономия на ИБ сегодня, это гарантированные штрафы и простой завтра. Практика показывает, что самые сложные задачи лежат не в плоскости настройки WSUS, а в зоне стыка между регламентами, устаревшим … Читать далее
"Минимизация поверхности атаки, это не про запреты, а про осознанное управление. Каждый лишний сервис, это не просто «ещё один порт», это целый стек кода, конфигураций и зависимостей, который ты доверяешь своей сети. И часто этот код написан десятилетия назад." Почему это работает: принцип минимальной привилегии для служб Запущенная, но неиспользуемая служба, это не нейтральный элемент. … Читать далее
Если составить правильный план, то через три года у тебя появляется сила отказываться от проектов, которые тебя съедают. Через пять — ты сам формируешь правила игры в своей нише. И дело не в амбициях, а в инженерном подходе к собственной ценности: из хаотичного исполнителя ты превращаешься в управляемый актив. https://seberd.ru/4590 Как устроен план, который работает … Читать далее